本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Cross-region 已启用 Amazon Web Services 服务
以下内容与跨区域 Amazon Web Services 服务 集成 Amazon PrivateLink。您可以创建接口终端节点,以私密方式连接到其他 Amazon 区域中的这些服务,就像它们在您自己的 VPC 中运行一样。
选择**Amazon Web Services 服务**列中的链接以查看服务文档。**服务名称**列包含您在创建接口终端节点时指定的服务名称。
- ** [Amazon S3](https://docs.amazonaws.cn/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) **
- cn。 com.amazonaws。 {{region}}.s3
- ** [Amazon Identity and Access Management (IAM)](IAM/latest/UserGuide/reference_interface_vpc_endpoints.html) **
- com.amazonaws.iam
- ** [Amazon ECR](https://docs.amazonaws.cn/AmazonECR/latest/userguide/vpc-endpoints.html) **
- cn。 com.amazonaws。 {{region}}.ecr.api
- cn。 com.amazonaws。 {{region}}.ecr.dkr
- ** [Amazon Key Management Service](https://docs.amazonaws.cn/kms/latest/developerguide/kms-vpc-endpoint.html) **
- com.amazonaws。 {{region}}.kms
- cn。 com.amazonaws。 {{region}}.kms-fips
- ** [Amazon ECS](https://docs.amazonaws.cn/AmazonECS/latest/developerguide/vpc-endpoints.html) **
- com.amazonaws。 {{region}}.ecs
- ** [Amazon Lambda](https://docs.amazonaws.cn/lambda/latest/dg/configuration-vpc-endpoints.html)**
- cn。 com.amazonaws。 {{region}}.lambda
- ** [Amazon Data Firehose](https://docs.amazonaws.cn/firehose/latest/dev/vpc.html) **
- com.amazonaws。 {{region}}.kinesis-firehose
- ** [适用于 Apache Flink 的亚马逊托管服务](https://docs.amazonaws.cn//managed-flink/latest/java/vpc-internet.html) **
- com.amazonaws。 {{region}}. 运动分析
- cn。 com.amazonaws。 {{region}}.kinesisanalytics-fips
- ** Amazon Route 53**
- com.amazonaws.route53
## 查看可用的 Amazon Web Services 服务 名字
你可以使用 desc [ribe-vpc-endpoint-services 命令来查看启用跨区域的服务](https://docs.amazonaws.cn/cli/latest/reference/ec2/describe-vpc-endpoint-services.html)。
以下示例显示了 Amazon Web Services 服务 该`us-east-1`区域的用户可以通过接口终端节点访问指定 (`us-west-2`) 服务区域的。该 `--query` 选项将输出限制为服务名称。
```
aws ec2 describe-vpc-endpoint-services \
--filters Name=service-type,Values=Interface Name=owner,Values=amazon \
--region {{us-east-1}} \
--service-region {{us-west-2}} \
--query ServiceNames
```
下面是示例输出。未显示完整的输出。
```
[
"com.amazonaws.us-west-2.ecr.api",
"com.amazonaws.us-west-2.ecr.dkr",
"com.amazonaws.us-west-2.ecs",
"com.amazonaws.us-west-2.ecs-fips",
...
"com.amazonaws.us-west-2.s3"
]
```
**注意**
您必须使用区域性 DNS。 Amazon Web Services 服务 在其他区域访问时,不支持区域 DNS。有关更多信息,请参阅 Amazon VPC 用户指南中的[查看和更新 DNS 属性](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。
## 权限和注意事项
+ 默认情况下,IAM 实体无权访问其他 Amazon Web Services 服务 区域的。要授予跨区域访问所需的权限,IAM 管理员可以创建允许`vpce:AllowMultiRegion`仅限权限操作的 IAM 策略。
+ 确保您的服务控制策略 (SCP) 不会拒绝仅限`vpce:AllowMultiRegion`权限的操作。要使用 Amazon PrivateLink跨区域连接功能,您的身份策略和 SCP 都必须允许此操作。
+ 要控制 IAM 实体在创建 VPC 端点时可以指定为服务区域的区域,请使用 `ec2:VpceServiceRegion` 条件键。
+ 服务使用者必须先选择加入一个选择加入区域,然后才能将其选择为端点的服务区域。只要有可能,我们建议服务使用者使用区域内连接而不是跨区域连接来访问服务。 Intra-Region 连接可提供更低的延迟和更低的成本。
+ 您可以使用 IAM 的新`aws:SourceVpcArn`全局条件密钥来保护可以从哪些区域 Amazon Web Services 账户 和 VPC 访问您的资源。此密钥有助于实现数据驻留和基于区域的访问控制。
+ 为了获得高可用性,请在至少两个可用区中创建一个支持跨区域的接口终端节点。在这种情况下,提供商和消费者无需使用相同的可用区。
+ 通过跨区域访问,可以 Amazon PrivateLink 管理服务区域和消费区域中可用区域之间的故障转移。它不管理跨区域的失效转移。
+ 以下可用区不支持跨区域访问:`use1-az3`、`usw1-az2`、`apne1-az3``apne2-az2`、和`apne2-az4`。
+ 您可以使用模拟区域事件并 Amazon Fault Injection Service 对支持区域内和跨区域的接口终端节点的故障场景进行建模。要了解更多信息,请参阅[Amazon FIS 文档](https://docs.amazonaws.cn/fis/latest/userguide/fis-actions-reference.html#network-actions-reference)。
## 创建指向其他区域 Amazon Web Services 服务 的接口终端节点
要使用控制台创建接口终端节点,请参阅[创建 VPC 终端节点](https://docs.amazonaws.cn/vpc/latest/userguide/create-interface-endpoint.html#create-interface-endpoint-aws)部分。
在 CLI 中,您可以使用 c [reate-vpc-endpoint 命令创建通](https://docs.amazonaws.cn/cli/latest/reference/ec2/create-vpc-endpoint.html)往不同区域的 VPC 终端节点。 Amazon Web Services 服务 以下示例创建了`us-west-2`从中的 VPC 到 Amazon S3 的接口终端节点`us-east-1`。
```
aws ec2 create-vpc-endpoint \
--vpc-id {{vpc-id}} \
--service-name com.amazonaws.us-west-2.s3 \
--vpc-endpoint-type Interface \
--subnet-ids {{subnet-id-1 subnet-id-2}} \
--region us-east-1 \
--service-region us-west-2
```